内部統制監査の概論
前回は、上場準備企業に必要な内部統制について見ていきましたが、今回は少し視点を変えて内部統制監査の全体像について解説していきたいと思います。
上場後は監査法人により、内部統制監査が行われることになりますが、J-SOXではあくまで経営者が評価した内部統制についての意見表明を行うに過ぎず、したがって、上場時点では経営者による内部統制の評価を行える体制が整っていなければなりません。
したがって、今回の記事で内部統制のあるべき姿と内部統制監査について理解していただき、より効率的に内部統制を構築していただければ考えております。
1.財務報告に係る内部統の内容
前回の記事でも述べたように内部統制監査において対象となるのは、財務報告に関する内部統制です。
そして財務報告に関する内部統制は、
⑴全社的な内部統制
⑵業務プロセスに係る内部統制
の2つに分けられます。
さらに業務プロセスに係る内部統制は
⑵-1. 決算・財務報告プロセス
⑵-2. その他の業務プロセス
の二つに分けられ、それぞれ内部統制の基本要素である①統制環境、②リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング、⑥ITへの対応の全てが有効に機能していることが必要です。
2.全社的な内部統制と業務プロセスに係る内部統制
全社的な内部統制は、企業集団全体を対象として企業集団全体に広く影響を及ぼすような内部統制を意味します。
これに対して、業務プロセスに係る内部統制とは、販売業務、仕入業務などの企業の業務プロセスに組み込まれ一体となって遂行される内部統制をいいます
内部統制の有効性を評価するに当たっては、まずは全社的な内部統制が良好に機能しているかを評価します。
全社統制は具体的には、行動規範、職務分掌、教育研修制度の整備、IT方針といった企業全体におけるルールのことで、規程や経営管理体制という形で企業内で実現しています。
したがって、全社統制が整備されていなかったり、機能していなかったり(運用状況の不備)すれば、そもそも業務プロセスを検討する以前の問題であり、到底会社の内部統制に依拠した監査は行えないという結論にならざるを得ません。
ですからまずは全社統制の評価を行ったうえで財務報告に係る重大な虚偽記載につながるリスクを評価し、特に重点的に監査資源を配分すべき業務プロセスを絞り込んで監査を行います。
このため内部統制の評価は、財務報告に関する全ての業務の内部統制を評価するのではなく、財務報告の信頼性に及ぼす影響の重要性の観点から必要な範囲に限って行われることになります。
3.内部統制の評価範囲
続いて業務プロセスに係る内部統制の評価範囲について解説をしていきます。
上記の評価の結果、全社的な内部統制の評価が良好であれば、売上高等の金額の高い事業拠点から合算して、連結ベースの売上高等の概ね3分の2に達するまでの事業拠点を『重要な事業拠点』として選定します。
続いて、重要な事業拠点において、企業の事業目的に大きく関わる勘定科目(一般的な事業会社の場合、売上高、売掛金、棚卸資産の3種類)に至る業務プロセスを評価の対象とします。
この他に、重要な事業拠点及び、それ以外の事業拠点において、財務報告への影響を勘案して、重要性の大きい業務プロセスについては、個別に評価対象に追加します。
4.内部統制の評価方法
【全社的な内部統制の評価】
全社的な内部統制については、原則として、全ての事業拠点について全社的な観点で評価します。
実施基準において42の評価項目の例示がありますので、これを参考に自社に合わせたチェックリストを作成したうえで、全社統制を評価することが一般的です。
【業務プロセスの内部統制評価】
全社的統制によって評価した項目以外の業務プロセスは、フローチャートや業務記述書などにより取引フローを把握・整理し、それぞれの取引が財務報告の信頼性に係るリスクを識別します。
経営者はさらに、認識したリスクに対してコントロールが有効に機能しているかを、リスク・コントロール・マトリックスやウォークスルー文書・運用テスト文書を作成することで整理、内部統制の整備状況、運用状況の評価を行うのが一般的です。
この整備状況、運用状況の評価の際には、一連の業務プロセスを証憑によって追いかけていくウォークスルーという手続や、キーコントロールの運用状況に対するサンプルリングテストなどが行われます。
【決算・財務報告プロセスの内部統制評価】
決算・財務報告プロセスは、主として経理部門が担当する残高試算表の作成、個別財務諸表、連結財務諸表を含む、外部公表用の有価証券報告書を作成する一連の過程ですが、決算・財務報告プロセスの評価はどのように行うべきでしょうか?
まず決算・財務報告プロセスのうち、全社的な観点で評価することが適切と考えられるものについては、全社的な内部統制と同様の方法で評価を行います。
また、それ以外の決算・財務報告プロセスについても、財務報告への影響を考慮して、重要性の大きい業務プロセスを個別に評価対象に追加した上で、通常の業務プロセスに関する内部統制と同様に評価を行います。
【ITに関する内部統制について】
ITに関する統制は、専門的な観点から評価を行う必要があるため、上記の全社統制/業務プロセス統制や決算・財務報告プロセスに関する統制とは別に行われるのが普通です。
もし通常の業務プロセス統制の中のコントロールにITが利用されている場合は、IT全般統制の評価を実施するかどうかの検討を行う必要があります。
IT全般統制が有効と評価されれば、ITによるコントロールの運用テストを省力化することが可能となりますが、IT全般統制の評価にもコストがかかりますので、状況に応じて監査人側でIT全般統制の評価を行うべきか決定するはずですので、積極的に協力したほうが会社側としても工数削減につながると思われます。
